Angreifer können an sieben Sicherheitslücken in Gitlab Community Edition und Enterprise Edition ansetzen. Auf Gitlab.com laufen dem Anbieter zufolge bereits abgesicherte Ausgaben. Bislang gibt es keine Berichte zu laufenden Attacken. Admins sollten aber nicht zu lange mit der Installation der Sicherheitspatches zögern.
In einer Warnmeldung schreiben die Entwickler, dass drei Lücken (CVE-2025-2255, CVE-2025-0811, CVE-2025-2242) mit dem Bedrohungsgrad "hoch" eingestuft sind. In den beiden ersten Fällen sind XSS-Attacken möglich und Angreifer können eigenen Code ausführen. Ob es sich dabei um persistente XSS-Lücken handelt, geht aus der Beschreibung nicht hervor.
Die dritte dieser Schwachstellen ist ein Sicherheitsproblem bei der Rechtevergabe. Wird ein Admin zu einem normalen Nutzer heruntergestuft, bleiben seine Admin-Rechte erhalten. Durch das erfolgreiche Ausnutzen der verbleibenden Lücken können Angreifer etwa unbefugt Daten einsehen.
Die Entwickler versichern, die Lücken in den Ausgaben 17.8.6, 17.9.3 und 17.10.1 geschlossen zu haben.
(
Kommentare